Seguridad en freebsd

Solo disponible en BuenasTareas
  • Páginas : 18 (4411 palabras )
  • Descarga(s) : 0
  • Publicado : 4 de diciembre de 2011
Leer documento completo
Vista previa del texto
Seguridad en FreeBSD

Herramientas de seguridad en FreeBSD

Este artículo pretende dar una idea general de las características de seguridad de FreeBSD, un sistema operativo Unix libre. FreeBSD contiene una serie de opciones que pueden ser configuradas para reducir el riesgo de compromiso del sistema. Un sistema FreeBSD bien configurado puede ofrecer muy buenos servicios a los usuarios y sermuy resistente a posibles ataques.

Introducción
Cualquier administrador de sistemas Unix o network manager en la necesidad de trabajar con servidores de red estables y de alto rendimiento debería considerar la posibilidad de integrar alguno de los sistemas libres y considerarlos como alternativa a los sistemas operativos comerciales convencionales. Mientras FreeBSD y sistemas similares ofrecenuna alternativa de bajo coste en estaciones de trabajo y servidores, desde el punto de vista de la seguridad no está tan claro. Antes de introducirnos en la exploración de FreeBSD, quisiera comentar que la relación entre los sistemas Unix y la seguridad en Internet es ya un tópico. Existen numerosos libros y otros recursos que discuten los diferentes elementos implicados en este tema, algunos delos cuales están incluidos en las referencias citadas al final de este artículo. En particular, al lector interesado le recomiendo "Practical Unix and Internet Security" y "Firewalls and Internet Security".
OpenBSD, un sistema relativamente cercano a FreeBSD, está siendo desarrollado con el objetivo de reforzar la seguridad de sistemas basados en BSD. FreeBSD incorpora e incorporará las solucionesa problemas de seguridad identificados por OpenBSD. Más información de OpenBSD en:

http://www.openbsd.org/
Sumario de conceptos de seguridad
En general, un sistema debe ser tan seguro físicamente como sea necesario, y el sistema solo debe tener los servicios y programas privilegiados que sean estrictamente necesarios para el nivel de operaciones deseado. Las siguientes secciones tratandiferentes áreas de seguridad con más detalle.

Sistema físico y cónsola
Con acceso físico al sistema, un atacante puede seleccionar la opción -s en el prompt de arranque y obtener un shell con privilegios de root en modo monousuario. Para evitar esto, si el sistema no está físicamente en un lugar seguro, es una buena idea marcar la consola como insegura en /etc/ttys para que el sistema requiera elpassword de root al entrar en modo monousuario. Mira el man de init(8) para más detalles. Si, como decimos, el sistema no se encuentra en un lugar seguro, no debería tener disquetera. Un atacante puede usar el boot prompt para arrancar un kernel retocado o montar el floppy como la partición raíz, pasando por alto cualquier protección establecida en /etc/ttys.

Programas setuid y Daemons
Losproblemas con demonios y programas setuid son explotados habitualmente por los crackers para obtener privilegios de root en los sistemas. Es aconsejable tener instalados el menor número posible de daemons y programas setuid en los sistemas para reducir los posibles problemas en caso de que se descubra algún tipo de vulnerabilidad en éstos.

Daemons
La idea con los daemons es desactivar todos ycada uno de ellos que no sean estrictamente necesarios. Edita los ficheros /etc/rc.conf y /etc/inetd.conf para desactivar los servicios no usados. Por ejemplo, si los servicios rlogin o rsh no son necesarios, pueden ser desactivados en /etc/inetd.conf comentándolos con el símbolo #. De la misma manera, si el daemon de impresión lpr no es necesario, pon la opción lpd_enable en el fichero /etc/rc.confa "NO".
Otra estrategia es reemplazar los daemons que son conocidos por haber tenido problemas de seguridad por otros que nos provean de los mismos servicios pero que hayan sido desarrollados teniendo en cuenta la seguridad. Por ejemplo, mientras en FreeBSD se mantiene el sendmail relativamente actualizado, podríamos reemplazarlo por el programa qmail, diseñado y escrito enteramente pensando en...
tracking img